miércoles, noviembre 16, 2011

Buscando servidores temáticos con Robtex

Una de las cosas que añadimos tiempo ha a nuestra querida FOCA es la de clasificar los servidores descubiertos por roles, es decir, tener un nodo que permitiera ver los servidores HTTP, otra que permitiera ver los servidores VPN, etc... Hasta el momento, utilizamos diferentes reglas para asignar los roles - algunas tan evidentes que nos hacen sentir orgullosos -.

El caso es que, una de las cosas en las que estamos trabajando es la de asignar roles en función del rol, haciendo una predicción. Es decir, si el servidor se llama ldap.dominio.com, vamos a suponer que es un servidor ldap [- APPLAUSE! -], o que si se llama ftp.dominio.com es probable que sea un... vale, creo que lo habéis pillado.

El caso es que esta idea de poner a los servidores nombres temáticos es de muy ingeniero, y tiene una vertiente de seguridad bastante curiosa. Amén de que sea fácil de predecir, y en la lista que usa FOCA para hacer la búsqueda por diccionario es probable que aparezca, también hará que ese servidor se pueda convertir en una gacela herida ante los cazadores furtivos.

Imaginad por un instante que ha aparecido un 0day en un componente del software de PHPmyadmin y que un cazador furtivo decide que quiere probarlo a diestro, siniestro y tiniestro. Lo primero que hará es ponerse a dorkear como un ninja [Daaab!] y buscar en Google, Bing y lo que se ponga por delante.

Sin embargo, el problema que se puede encontrar es que muchos hayan configurado el fichero robots.txt correctamente, y lo que es peor, que las arañas le hayan hecho caso. Con lo que se puede perder mucho del campo que está conectado a Internet.

La cosa aún es peor cuando el bug es de un servidor LDAP, Terminal Services o Citrix... ¿cómo dorkear en esos momentos? Nada, las alternativas, como explica el libro de Hacking con Buscadores es utilizar como John Matherly manda Shodan... pero.. ¿y si el puerto no está indexado por Shodan?

Pues te queda una opción, buscar los servidores temáticos con Robtex, es decir, los servidores que su querido admin ha bautizado con el rol que tienen dentro de la organización. Así, una sencilla búsqueda en Robtex por ldap. y te salen unos mil y pico servidores llamados ldap., de los que es posible que puedas conectarte a alguno.

Figura 1: Servidores llamados ldap. descubiertos por Robtex

Lo mismo con los servidores de bases de datos MS SQL Server.

Figura 2: servidores mssql.

O los servidores VPN....

Figura 3: Servidores VPN.
o el citado PHPMyAdmin

Figura 4: Servidores llamados phpmyadmin.

Parece que va ser una muy buena idea eso de utilizar nombres que no identifiquen la carga software del servidor, por si aparece algún 0day en alguno de esos software, o por si hay algún APT malo maloso esperando el fallo. ¿Se te ocurre algún buen nombre que buscar?

Saludos Malignos!

9 comentarios:

  1. me gusta mas los datos de trama de iu:

    —————————————————————-
    TRAMA IZQUIERDA UNIDA DE CAYO LARA (VERAN COMO NADIE INVESTIGA):
    —————————————————————-
    CHALET ADOSADOS DE VPP (SI VPP) ADJUDICADOS MISTERIOSAMENTE A POLITICOS FAMILIARES Y AMIGOS
    Empresa COBIJO S.COOP. MAD 12 Vivienda UNIFAMILIARES ADOSADAS IU

    http://es.scribd.com/doc/72788193/Empresa-Cobijo-s-coop-Mad-12-Vivienda-Unifamiliares-Adosadas-Iu

    http://es.scribd.com/doc/72787923/Listado-de-Chalet-VPP-Adjudicado-a-Familiares-de-IU-Por-La-Comision

    http://es.scribd.com/doc/72790119/Escritura-Vivienda-VPP-186-Metros

    http://es.scribd.com/doc/72790962/Calificacion-Precio-Maximo-Vppl

    http://es.scribd.com/doc/72791373/Cam-Vpp-Chalet-IU

    http://es.scribd.com/doc/72788627/Listado-de-Viviendas-y-Precios-I

    http://es.scribd.com/doc/72788797/Listado-de-Viviendas-y-Precios-II

    http://es.scribd.com/doc/72789205/Listado-de-Viviendas-y-Precios-III

    ResponderEliminar
  2. Claramente, lo mejor para proteger servidores críticos va a ser llamarlos "goatse.miempresa.com" o "2girls1cup.miempresa.com". A ver si hay huevos.

    Por cierto, no conocía robtex, ¡que gran descubrimiento, muchas gracias! Yo usaba serversniff pero últimamente va más lento que el caballo del malo y no tiene buscador.

    ResponderEliminar
  3. Chema, quiero hacerte una pregunta aunque no esté muy relaccionada con ésta entrada...

    Tengo un Kindle y quiero comprar los libros de Informática64, ¿Sabes si se pueden conseguir de alguna forma en eBook, PDF o algún formato digital que pueda convertir a ePub, AWZ o formato similar para eReader?

    ResponderEliminar
  4. Excelente articulo, siempre buscando una vuelta de tuerca mas.....
    Un saludo Chema.

    ResponderEliminar
  5. Pues buscando: citrix, puedes encontrar un WebInterface 6.5 que comparten XenAPP (Terminal Server), y XenDesktop (VDI) y a chafardear.

    A parte, Si desde ROBTEX entras en DNS Information, puedes encontrar el servidor de SPOOL, AD, Exchange, etc.. :)

    ResponderEliminar
  6. SUBLIME!
    Podría ser un tema magnifico si se completa con una demo para una charla.

    Gracias por compartir el conocimiento al mundo de la seguridad.

    ResponderEliminar
  7. Dejamos de usar www para ocultar los servidores que tienen servicio web?

    ResponderEliminar
  8. @Anónimo "www",

    COCO: "Hola amigo anónimo, hoy vamos a ver la diferencia entre servicios públicos y servicios privados. Los públicos son los que todo el mundo tiene que utilizar, los privados son aquellos que solo algunos deben utilizar, por eso se llaman privados"

    Saludos!

    ResponderEliminar
  9. Esto lo lei en su libro Hacking Web Tecnologies...
    Muchas articulos descritos aqui hacen buena referencia en el libro.
    Es leer lo que ya lei :V.

    ResponderEliminar